我家里的一台机器感染了一些恶意软件。它首先显示为 winulty.exe。经过调查,我认为 winulty.exe 本身是一个未感染的文件,但在加载到内存后正在被修改。为所有进程和服务启用数据执行保护已证实这是真的。
我如何追踪导致此问题的进程?我使用 sysinternals.com 的文件监视器来监视 winulty.exe,发现托管大多数系统服务的 svchost.exe 实例以及 dfrgntfs.exe 正在访问此进程。我如何知道哪个服务或哪个 DLL 已被感染?
答案1
您确定它是 的正确实例吗SVCHOST.EXE
?您是如何确定的?它是哪个版本的 Windows?
重复之前的操作,但这次,查看SVCHOST.EXE
写入WINULTY.EXE
内存的实例的 PID,然后运行进程探索器— 同样来自 Sysinternals—(确保以管理员身份运行),然后双击SVCHOST.EXE
具有您记下的 PID 的实例。现在查看“服务”选项卡以查看该实例托管的服务。希望该实例中不会有太多服务(理想情况下只有一个)。根据它托管的服务,您可以尝试停止它们以查看它是否继续。如果WINULTY.EXE
仅在启动后被感染,那么同样,取决于托管的服务(您可以在评论中发布它们以获取建议或参考黑毒蛇指南),您可以尝试禁用它们,看看重启后它是否继续。
答案2
答案3
安装多个防病毒软件的替代方法是进行在线扫描。
我喜欢的一些趋势科技上门服务,卡巴斯基实验室免费病毒扫描和熊猫。请注意,每项操作都需要几个小时才能完成,并且可能要求您使用 Internet Explorer 作为浏览器
答案4
最好使用可启动的 AV CD,从中启动并在操作系统离线时扫描驱动器,然后在重新启动 Windows 后使用 MBAM 或其他扫描仪完成清理。
可启动 AV CD http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/
工商管理硕士 http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html
。